漏洞描述
帆软报表软件(FineReport)是一款纯Java编写的,集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。帆软报表v10存在前台反序化漏洞,新版本存在黑名单限制,通过二次反序列化绕过限制。
帆软报表v10 /decision/remote/design/channel 存在反序列化漏洞(二次反序列化绕过)
PoC代码
暂无相关漏洞推荐
- 帆软报表 /WebReport/ReportServe?op=plugin_logdb 代码执行漏洞
- POC CNVD-2018-04757: 帆软报表 V8 get_geo_json 任意文件读取漏洞
- POC fanruan-oa-v9-designsavevg-upload-file: 帆软报表 V9 design_save_svg 任意文件覆盖文件上传
- 致远OA-帆软报表组件 dbcommit 命令执行漏洞
- 帆软报表 dbcommit 命令执行漏洞
- 帆软报表远程命令执行漏洞
- 帆软报表 fs_remote_design 目录遍历漏洞
- 帆软报表v9任意文件写入(绕过JSP不解析的情况,上传dll RCE)
- 帆软报表FineVis插件任意文件上传漏洞
- 帆软报表 local_install 任意文件上传漏洞
- 帆软报表 ReportServer 存在模板注入漏洞
- 帆软报表 ReportServer 存在任意文件读取漏洞
- 帆软报表反序列化命令执行漏洞